technologie

BYOD en licentiebeheer: een gewaarschuwd werkgever telt voor twee


Volgen:

Door Christian den Boer – Een medewerker gebruikt thuis software op zijn privé-laptop. Voor deze software heeft hij netjes een licentie verkregen. Dezelfde laptop en software gebruikt hij later voor zakelijke doeleinden. Maar hier kan een hoge prijs aan vastzitten voor de werkgever – een risico dat bedrijven, vaak onbewust, lopen in de tijd van het nieuwe werken.


Het nieuwe werken en BYOD brengen veel voordelen met zich mee voor zowel de werknemer als de werkgever. Werknemers kunnen tijds-, plaats- en device-onafhankelijk werken. De vrijheid om apparatuur te gebruiken waar zij aan gewend zijn of welke zij prettig vinden in gebruik, komt de tevredenheid en effectiviteit ten goede. Daarnaast besparen werkgevers veel kosten doordat ze geen dure laptops en telefoons voor hun personeel hoeven aan te schaffen.

Er is echter een keerzijde. Zodra een werkgever een apparaat toestaat binnen de organisatie dat eigendom is van de werknemer, dan neemt de organisatie grote risico’s op het gebied van licentiebeheer. Welke software gebruikt de werknemer op dit apparaat? Is deze software legaal? Is de software juist gelicentieerd? Dit zijn vragen die een werkgever vaak niet kan beantwoorden.

Werkgever altijd aansprakelijk
Het gevaarlijke aan licentiebeheer in combinatie met BYOD, is de beperking die op het gebruiksrecht van veel software rust. Daardoor kan het zijn dat een werknemer over een licentie beschikt waardoor hij zijn software privé mag gebruiken, maar zodra deze wordt gebruikt voor werkgerelateerde doeleinden een zakelijke licentie verplicht is.

Werknemer en werkgever zijn zich hier waarschijnlijk niet van bewust en de laatste heeft al helemaal geen zicht op het softwaregebruik van de werknemer op zijn privé-apparatuur. Maar de consequenties zijn voor de werkgever, die áltijd verantwoordelijk is voor het correct licentiëren van de software die wordt gebruikt voor het uitvoeren van de arbeidsovereenkomst. Dit geldt niet alleen voor het softwaregebruik van vaste werknemers, maar zelfs voor de licentiëring van software die bijvoorbeeld een ZP’er gebruikt voor het uitvoeren van een opdracht. Ongeacht de duur ervan.

Vooral de grotere leveranciers moeten rekening houden met tijdelijke gebruikers, ook al zijn deze medewerkers niet altijd fysiek aanwezig tijdens een bezoek van een auditor. Een auditor zal namelijk niet gaan tellen hoeveel mensen er bij een organisatie werken. Er wordt uitgegaan van metingen, jaarcijfers, interviews en verklaringen van organisaties. Het is daarom verstandig om de licentiëring van ZP’ers op te nemen in grotere contracten. Voor kleinere softwareleveranciers is de pakkans een stuk kleiner.

Consumentenlicenties hebben vaak een beperking op zakelijk gebruik. Daarentegen is dit andersom veelal niet het geval. Als een zelfstandige een zakelijke licentie afneemt en in de licentieovereenkomst staat niet omschreven dat het gebruik beperkt is tot een bepaalde organisatie of een bepaald doel, dan kan deze software voor meerdere opdrachten worden gebruikt. Deze licenties zijn echter vaak duurder dan consumentenlicenties en niet alle zelfstandigen hebben weet van de verschillen in bepalingen tussen deze twee licentievormen.  

BYOD-beleid en monitoren
Om te kunnen profiteren van de voordelen van BYOD zonder risico’s te lopen op het gebied van licentiebeheer, doen bedrijven er goed aan om een duidelijk BYOD-beleid in te voeren. Het moet voor werknemers duidelijk zijn hoe zij binnen hun werkomgeving moeten omgaan met hun privé-apparatuur. Wat is toegestaan en wat niet? Daarnaast moet het voor de organisatie mogelijk zijn om het apparaat te beheren. Het is belangrijk dat de organisatie medewerkers verzekert dat eventuele persoonsgegevens enkel zullen worden gebruikt voor software asset management (SAM). Alleen door apparatuur te beheren heeft de werkgever inzicht in het softwaregebruik van medewerkers en kan hij ingrijpen indien nodig. De organisatie moet kunnen monitoren welke software de medewerkers gebruiken, om het juiste aantal licenties te kunnen afsluiten.

En houden medewerkers zich wel aan het BYOD-beleid? Als bij een audit blijkt dat zij ondanks het beleid illegale of onjuist gelicentieerde software gebruiken voor zakelijke doeleinden, dan valt de rekening alsnog bij de werkgever op de mat.

Als we kijken naar ZP’ers is dit natuurlijk een ander verhaal. De verwachting om ook hun apparatuur te beheren is niet realistisch. Of de ZP’er correct gelicentieerd is, blijft echter een reden van zorg. Naast het opnemen van de licentiëring van ZP’ers in grotere contracten en het benadrukken van het beleid, kunnen bedrijven ervoor kiezen om voor de duur van een project een zakelijke laptop ter beschikking te stellen waardoor ze zelf zicht hebben op het softwaregebruik.

Alternatieven
De vraag rijst of de wetgeving niet aangepast kan worden om op een andere manier correct licentiegebruik af te dwingen. In de softwarewereld volgen ontwikkelingen elkaar echter razendsnel op. Het is voor de wetgever bijna onmogelijk om bij te houden wat deze ontwikkelingen betekenen voor zakelijke gebruikers. Daarbij komt dat het auteursrecht eigenlijk niet ontworpen is voor software. Dit doet echter niet af aan het basisprincipe dat de auteur de voorwaarden mag bepalen waarop zijn werk kan worden gebruikt en daar kan geen wet iets aan veranderen. Wat wel opvalt, is dat er op dit moment een verschuiving bestaat van betalen per installatie naar betalen per gebruiker. Dat maakt het licentiebeheer al wat overzichtelijker. Maar softwareleveranciers houden helaas van onduidelijkheden in contracten en allerlei beperkingen in het gebruik. Dit zorgt er namelijk voor dat een product dat feitelijk ongelimiteerd gekopieerd kan worden een schaars goed wordt. Er zit – vooral voor grote organisaties met omvangrijke contracten – dus niets anders op dan zich te schikken naar de voorwaarden van de leverancier.

Ook mobiele applicaties
Mijn verwachting is dat software op mobiele devices binnen een aantal jaar standaard deel  gaat uitmaken van audits. Steeds meer werknemers gebruiken applicaties op hun mobiele device om toegang te krijgen tot zakelijke software. Deze mobiele varianten van software worden als app op een telefoon geïnstalleerd, maar hebben een licentie nodig aan de serverkant. Hierdoor zal de komende jaren software op deze apparaten een groter onderdeel worden van het verdienmodel van leveranciers. Zij zullen gaan auditen of een organisatie ook genoeg licenties heeft voor alle mobiele apparaten van medewerkers.

Een end-user license agreement (EULA) kan een auditclausule bevatten, ook voor cloudapplicaties. Om deze applicaties te kunnen auditen, heeft de auditor soms inloggegevens nodig. Dat kan in strijd zijn met bedrijfsbepalingen, omdat er gevoelige data op de systemen in de cloud kan staan. Door een audit uit te laten voeren door een gerenommeerd accountantskantoor, wordt vertrouwelijkheid gewaarborgd. In andere gevallen kan een aparte geheimhoudingsovereenkomst gesloten worden, waarin opgenomen wordt dat vertrouwelijke data buiten de audit blijft.

Onder de huidige stand van zaken moeten organisaties kunnen aantonen dat zij binnen de licentievoorwaarden van softwareleveranciers handelen. En dit kan natuurlijk alleen als ook de apparaten van medewerkers in beheer zijn bij de IT-afdeling.

De auteur is director Services and Support bij Snow Software

ADVERTORIAL

Palo Alto Networks and ICT Media are publishing a guide for the C-suite that includes advice and cybersecurity best practices from CEOs, CISOs, lawyers, consultants and government officials.

Join us for the launch event on 18 May from 2:30pm at the Scheepvaart Museum Amsterdam. There will be an interactive panel discussion with the authors, covering Cloud Security, Cyber Insurance, the GDPR, the NIS Directive, the next-generation CISO and Digital Transformation Trends.

You can register for the event here.

Van onze partners

Magazines

OM 2 - Cloud


Strategic sourcing gaat over het zoeken naar een evenwicht tussen uitbesteden en zelf doen, de mate van uitbesteding, de leveranciersselectie, samenwerken met partners, contractbeheer en de regievoering. Maar ook over standaardisatie, normalisatie, ecosystemen en cultuurveranderingen. Op een strategische manier uitbesteden verbetert de efficiency, bespaart kosten en versnelt productontwikkeling. Organisaties kunnen zich voortaan op hun kernactiviteiten concentreren. Strategic sourcing geeft toegang tot expertise, of tot extra productiecapaciteit waarover men zelf niet beschikt. In dit nummer belicht Outsource Magazine de ervaringen en vorderingen op dit gebied.


Naar alle magazines